Het spanningsveld tussen Big Data en privacy

‘Organisaties verzamelen en koppelen steeds meer informatie. Ook kunnen ze steeds meer doen met deze Big Data. Ze willen kansen benutten, maar natuurlijk zonder de continu aangepaste en strenger wordende privacywetgeving te overtreden,’ zegt mr. Rik Geurts, advocaat bij Van Iersel Luchtman Advocaten en één van de sprekers bij de collegereeks Big Data van Nyenrode Business Universiteit. ‘Dat willen ze niet alleen vanuit ethisch oogpunt, maar ook vanwege de mogelijke gevolgen. Denk bijvoorbeeld aan de boetes voor overtredingen, die steeds hoger worden.’

Geurts vertelt: ‘We zien een enorme groei aan Big Data en de mogelijkheden worden steeds uitgebreider. Bedrijven kunnen bijvoorbeeld het koopgedrag beïnvloeden door data te ontsluiten of juist te onthouden. Kansen voor de markt, maar voor individuen kan het een schending van hun privacy zijn en daarmee een boete opleveren.’

In mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) ingevoerd, waarbij de boetes in bepaalde gevallen kunnen oplopen tot maar liefst 20 miljoen euro. ‘Naast de boetes die kunnen worden opgelegd, bestaat ook het risico dat een onderzoek van de Autoriteit Persoonsgegevens tot negatieve publiciteit en mogelijk imagoschade leidt. Tijdens het college leren deelnemers meer over de nieuwe regelgeving en hoe ze bij het inrichten van hun bedrijf, dienst of product al rekening kunnen houden met de juridische aspecten rond privacy,’ legt Geurts uit.

Datalek

‘Behalve de juridische kwestie, speelt er ook een ethische: tot hoe ver wil een organisatie namelijk gaan?’ zegt Geurts. Hij geeft een voorbeeld: ‘Een ziekenhuis heeft baat bij onderzoek om behandelmethodes te verbeteren. Als een commercieel bedrijf dan dit onderzoek wil doen en daarvoor patiënt- en/of medische gegevens moet gebruiken, hoe waarborg je dan de privacy van de patiënten? En wat als het fout gaat, als er bijvoorbeeld een datalek ontstaat? Dan heb je heldere procedures nodig om het lek zo snel mogelijk te dichten, het te melden en de betrokken personen te informeren.’

Vinkjes aan of uit

‘Als manager moet je dus zorgen dat je organisatie AVG-compliant is. Dat kan bijvoorbeeld door te zorgen dat de privacy policy op je website in orde is. Maar ook door ontwikkelingen en veranderende wetgeving in de gaten te houden en door na te denken over hoe je noodzakelijke veranderingen in je organisatie gaat implementeren. Ook moeten bedrijven in de toekomst bewuster omgaan met het waarborgen van privacy van individuen in hun producten en diensten. Denk daarbij aan vinkjes die je moet aan- of uitzetten. Kies je als bedrijf voor privacy by default, wat betekent dat alles standaard ‘uitstaat’ en de gebruiker zelf per geval kiest om iets aan te vinken. Of ga je voor privacy by design, waarbij niet de individuele werknemer, maar het bedrijf van tevoren beslist wat wel en niet standaard aangevinkt staat? Het is belangrijk om deze wet- en regelgeving onderdeel te maken van je bedrijfsstrategie.’